Уязвимостью Log4Shell вооружились кибервымогатели Conti

вымогательское ПО эксплоит уязвимость Log4j Log4Shell VMware vCenter AdvIntel
Conti стала первой «топовой» киберпреступной группировкой, начавшей эксплуатировать эту уязвимость.

Уязвимостью Log4Shell вооружились кибервымогатели Conti

Операторы вымогательского ПО Conti стали использовать в своих атаках недавно раскрытую уязвимость Log4Shell. С ее помощью они получают быстрый доступ к внутренним установкам VMware vCenter Server, после чего шифруют виртуальные машины с целью получения выкупа. Таким образом, Conti стала первой «топовой» киберпреступной группировкой, вооружившейся этой уязвимостью.
PoC-эксплоит для уязвимости удаленного выполнения кода в утилите журналирования Log4j ( CVE-2021-44228 ) был опубликован 9 декабря 2021 года, и уже на следующий день начались массовые сканирования интернета на предмет подключенных уязвимых систем. Первыми Log4Shell стали эксплуатировать майнеры криптовалюты, ботнеты и новое семейство вымогательского ПО Khonsari . К 14 декабря список киберпреступников, добавивших Log4Shell в свой арсенал, пополнился APT-группами, работающими на правительство Китая.
Conti, являющаяся одной из крупнейших и влиятельнейших кибервымогательских группировок и насчитывающая десятки активных постоянных участников, обратила свое внимание на Log4Shell 12 декабря. По данным
компании Advanced Intelligence (AdvIntel ), целью Conti является боковое перемещение к сетям VMware vCenter.
Поскольку Log4j является очень популярной библиотекой, уязвимость Log4Shell затрагивает продукты десятков производителей, в том числе VMware – проблема затрагивает 40 ее продуктов. Хотя компания выпустила исправления для некоторых из них, патч для vCenter все еще не доступен.
Серверы vCenter как правило не подключаются к открытому интернету, однако злоумышленники могут прибегнуть к некоторым способам и атаковать их через Log4Shell для получения полного контроля над атакуемой системой и/или вызова отказа в обслуживании.
По данным AdvIntel, в атаках через Log4Shell группировка Conti использует публично доступный эксплоит.

SECURITYLAB.RU

Источник